Quasi en permanence au cœur de l’actualité informatique, la cybersécurité concerne tous les types d’entreprises et d’administrations. Pour faire face aux menaces et enjeux, les solutions sont multiples. Jérôme Sanchez, formateur, DSI et auteur (entre autres) détaille « les fondamentaux de la cybersécurité avec Watchguard » dans son livre éponyme.
Entretien avec ce passionné au parcours riche qui nous éclaire sur sa vision de la cybersécurité, détaille le potentiel de Watchguard et explique également sa méthode CPS, Cybersecurity Production System basée sur le Lean…
ENI : Formateur, consultant, DSI à temps partagé, administrateur à temps plein dans blueinfo, auteur de livre donc… Vous avez de multiples casquettes. Comment vous définiriez-vous professionnellement ?
Jérôme Sanchez : Votre question est tellement pertinente ! Depuis mes 18 ans, je suis dans l’IT et j’ai cette année 44 ans. Entre employé et employeur, dans presque tous les secteurs métier, l’infra, le développement et aujourd’hui la cybersécurité. À la base, j’ai une formation en infrastructure réseau et système.
Aujourd’hui, je suis formateur à 30%, administrateur et consultant à 70%. Je suis aussi DSI à temps partagé pour une société du secteur de la chimie qui travaille à l’international. Mais mon souhait est de m’orienter plus dans la formation à l’avenir. J’ai d’ailleurs une cinquantaine de certifications qui me permettent de démontrer des compétences dans pleins de technologies.
ENI : Comment en êtes-vous arrivé à la cybersécurité ?
JS : C’est la sécurité des systèmes d’information qui m’a rattrapé. Je n’avais pas vraiment prévu, il y a 5 ans, de faire ce virage. J’avais prévu un tour du monde, que j’ai fait, et à mon retour en 2018, j’ai été pris dans la cybersécurité.
J’ai commencé des formations tout en gardant la gestion des parcs informatiques pour le compte de ma société « Blueinfo ». C’est une activité qui me demandait déjà de me pencher sur la sécurité, je mettais en place des antivirus, des firewalls, des UTM, des VPN… Et puis en fait, je voulais aller plus loin.
J’ai fait la partie normative avec PECB puis je suis devenu implémenteur et auditeur pour les sociétés qui souhaite passer la certifications ISO 27001.
Mon parcours initiatique m’a fait réaliser que certains de mes formateurs, ainsi que de nombreuses autres personnes très compétentes dans leurs domaines respectifs, ne comprenaient pas pleinement de quoi ils parlaient lorsqu’ils abordaient le sujet de la cybersécurité. Heureusement, ce n’était pas le cas pour tous, mais étant donné que la cybersécurité englobe presque tous les aspects de l’informatique, il est logique de rencontrer ce phénomène.
Cela a été un véritable déclic pour moi. Je me suis dit : “Il se passe quelque chose d’important, la plupart des gens ne saisissent pas la situation dans sa globalité. Souvent, dans ce cas, les anglophones parlent de Big Picture…”
En 2020, lorsque je suis devenu DSI, j’ai eu l’occasion de mettre directement à l’épreuve les concepts et les produits abordés lors de mes formations. J’ai ainsi exploré tous les aspects du sujet et les difficultés rencontrées entre la direction et les opérationnels. En résumé, cela a mis en lumière les véritables enjeux de manière très claire.
ENI : Le fait d’avoir été dans l’opérationnel avant le décisionnel reste un atout ?
JS : C’est une évidence. Il y a des personnes qui s’inventent une vie, ils sautent d’un secteur vers un autre secteur sans avoir les basiques, la cybersécurité étant tendance ils se disent que c’est un bon plan ! Cela sans même de formations en infrastructure réseaux ou encore dans le développement.
Je vois aussi des VIP en entreprise (COMEX, CODIR, médecins, risk managers, etc.) faire le grand saut dans la cybersécurité en donnant leurs points de vue sans aucune retenue, comme s’ils travaillaient dans ce domaine depuis des années… Avec très souvent pour résultat de mauvaises décisions, une perte de temps, d’argent et surtout de l’incompréhension à tous les niveaux. Je peux vous dire que cela m’agace énormément.
D’après moi, c’est une erreur magistrale en fait de ne pas passer par la case opérationnelle.
ENI : Il y a de nombreux métiers dans la cybersécurité. Lesquels recommandez-vous ?
JS : La cybersécurité à 3 aspects : le normatif constitué par exemple des normes (ISO27001, RGPD etc..) ; le défensif avec les bonnes pratiques (en développement et en réseaux) puis, pour terminer, vient l’offensif qui consiste à pénétrer les systèmes.
Mais en réalité, il y a 2 métiers : le développement et le réseau. Les diverses professions actuelles ne font que découler de ces deux branches…
D’après moi, il vous faut connaître le monde des réseaux entre ordinateurs et au minimum les bases du développement. Les réseaux et les logiciels vont servir de support pour les utilisateurs, et ainsi, former un système d’information plus large. Le SI comprends plusieurs éléments comme les ordinateurs, les logiciels, les utilisateurs, les politiques, les procédures, les formations etc… Celui-ci doit avoir comme objectif la création de valeur pour l’entreprise.
Donc un bon point d’entrée pour la Cybersécurité me parait l’administration réseaux ou le développement.
Puis vous pouvez commencer à développer vos connaissances dans la partie normative avec ISO27001, voire passer par une spécialisation dans le risk management.
La partie défensive est souvent une évolution de l’administration réseau OnPrem ou Cloud. Elle consiste en la maîtrise des différentes bonnes pratiques, techniques et outils utilisés pour protéger le réseau et le développement informatique. C’est le propos de mon livre ou j’apprends à des administrateurs réseaux à déployer les outils de l’éditeur WatchGuard.
La dernière partie dite offensive consiste à se former sur les tests d’intrusion aussi appelés Pen Test. Cette partie est très à la mode car il est facile de pénétrer des systèmes mal protégés ! Il n’existe pas encore réellement de métier appelé « Hacker » mais plusieurs certifications existent pour structurer l’apprentissage des connaissances nécessaires.
ENI : Vous parliez des outils qu’il faut apprendre à manipuler. Vous vous êtes penché sur Watchguard avec cet ouvrage. Pourriez-vous nous dire ce que c’est et votre vision de leurs produits ?
JS : Watchguard est un éditeur qui propose un portefeuille de produits en cybersécurité, des produits qui vont faire de la protection des systèmes informatiques.
Ce sont des outils qui ont un très bon rapport qualité/prix et une approche très innovante. Ce sont ces deux aspects qui ont attiré mon attention. Je suis rentré en contact avec eux et cela m’a donné envie d’écrire dessus.
Que ce soit du Cisco, du Fortinet ou encore du Palo Alto, tout le monde avait écrit dessus en long et en large, et surtout c’était très peu innovant. Les leaders m’ennuient profondément, à tout le temps se conformer, se coopter, c’est quelque chose qui donne de la médiocrité à moyen et long terme.
Watchguard, proposent les mêmes fonctionnalités que les produits Fortinet, qui sont supérieurs au niveau du prix.
ENI : Pouvez-vous revenir sur l’excellence opérationnelle qui fait l’objet d’un chapitre entier du livre ?
JS : C’est LE passage que je voulais absolument partager. En français c’est assez pompeux mais en réalité c’est du Lean. Chez Toyota, on appelle ça TPS.
Là, l’idée est d’appliquer le Lean, une méthode pour atteindre un haut niveau d’efficacité opérationnelle, avec les outils Watchguard.
Il m’a fallu plus de cinq ans pour découvrir et mettre en place l’ensemble des outils de leur catalogue, comprenant notamment les UTM/VPN (protection périmétrique), EDR (protection des ordinateurs), MFA (protection des Identités), WIPS (protection du WIFI), et le XDR (pour la corrélation d’information entre les dispositifs). J’ai ensuite voulu optimiser la démarche avec du « Lean » adapté à la Cybersécurité : on va chercher à éviter tous les types de gaspillages et pour cela il faut respecter plusieurs principes comme agir au bon moment avec le « Just In Time », automatiser et éviter les erreurs avec le « Jidoka », faire de l’amélioration continue en permanence… et bien sûr avoir une vision de là ou on va.
Dit comme ça, cela semble facile… mais en réalité la plupart des entreprises n’arrive pas à ce stade de culture d’efficacité.
Vous retrouverez tous ces principes sous forme d’une petite maison que je vous invite à découvrir. Ce chapitre donne du sens, du bon sens dans ce monde de fou 😊
Cette approche orientée Cybersécurité, je l’ai appelée CPS, Cybersecurity Production System. Je la déploie et je propose des formations dessus !
ENI : Cette notion de bon sens que vous évoquez revient souvent dans la bouche de nos spécialistes développement, et pas seulement en cybersécurité…
JS : Parce qu’ils sont tous confrontés à un manque flagrant de bon sens ! Que ce soit dans la mise en œuvre de la méthode Agile, du DevOps plus généralement, ou autres pratiques, il est impératif de revenir à l’essentiel : l’efficacité.
Et pour y parvenir, il est nécessaire d’organiser les processus, d’intervenir très en amont, d’automatiser au maximum, de s’engager dans une démarche d’amélioration continue, et surtout de discuter des véritables causes des problèmes, ce que l’on néglige souvent.
En réalité, personne ne cherche les causes profondes ; tout le monde se contente de poser des rustines et de poursuivre sans remise en question. Cette approche dévalorise trop souvent le travail accompli par les services.
ENI : Les menaces sont multiples et concernent tous les types d’entreprises et institutions. Mais existent-ils des fondamentaux, des compétences pour toute situation ?
JS : Oui et ce sont les mêmes. Des bonnes pratiques. Et dans le cas des grandes entreprises, on va procéder par strate là où c’est plus direct dans les TPE et PME.
Personnellement, je me concentre sur les directions car je pense que si les dirigeants ne me suivent pas, la mission ne sert à rien.
Un point important, l’excellence opérationnelle dont je parlais implique que les choses fonctionnent déjà bien et seulement à ce moment on va chercher à aller encore plus loin. Mais dans la plupart des cas, les bases ne sont pas là ! Or la menace est planante en permanence.
Je suis quelqu’un de réaliste, et avec les bonnes pratiques ainsi que les bons outils, il est tout à fait possible de protéger efficacement les systèmes de manière relativement aisée.
Les fondamentaux, c’est la conclusion du livre : vous devez procéder au durcissement (Hardening), utiliser les EDR, UTM, WIPS et XDR, et les intégrer dans une démarche d’excellence opérationnelle, ou de CPS, la méthode que je recommande vivement.
ENI : Respecter les fondamentaux gommerait toutes les problématiques courantes, notamment le travail à distance, l’utilisation des réseaux sans fils de type WiFi, etc. ?
JS : De nombreux acteurs de la cybersécurité (RSSI, les consultants ou encore les risk managers etc…), soulignent que le risque zéro n’existe pas dans un système d’information. Je partage cette perspective, mais je tiens surtout à expliquer que la majeure partie du problème réside dans le comportement humain, régulièrement dépourvu de bon sens, ce qui conduit à des erreurs graves, souvent dues à des biais cognitifs.
Une fois que vous avez mis en place les fondamentaux de la cybersécurité avec les outils WatchGuard traités dans le livre, je vais être franc : les pirates vont cibler l’humain, la partie la plus vulnérable des systèmes d’information. Ils utiliseront l’ingénierie sociale, le phishing ciblé… Ils tenteront de l’exploiter de toutes les manières possibles par ce biais. Cependant, ils abandonneront rapidement la piste purement technique.
ENI : Ce livre est votre premier. Quel est votre retour d’expérience ?
JS : La première chose qui m’a frappé, c’est qu’ENI m’a accordé une totale liberté. Ils m’ont laissé carte blanche sur la durée et le contenu, ce que je trouve remarquable.
La deuxième chose qui m’a frappé, c’est que je ne savais pas que j’aimais écrire avant de me lancer. J’étais curieux de tenter l’expérience, tout comme avec la cybersécurité : je suis venu, j’ai vu l’opportunité… et cela me correspond totalement.
C’était à ma portée et c’est quelque chose que je ne peux plus ignorer. L’expérience de l’écriture s’est très bien déroulée, je pense que je vais continuer dans cette voie.
Jérôme SANCHEZ occupe le poste de DSI au sein d’une entreprise opérant à l’international dans le domaine de la chimie, et il est certifié Microsoft Cybersecurity Architect. Le reste de son emploi du temps est partagé entre sa société de conseil, Blueinfo, et ses missions en tant que formateur Microsoft et PECB pour le compte d’ORSYS (Cloud Azure, M365, Cybersécurité, SCADA, RGPD etc..). Bénéficiant de plus de 15 années d’expérience professionnelle, il détient un nombre significatif de certifications en systèmes et réseau. Son livre illustre sa volonté de partager ses connaissances à 360° à travers les produits et services WatchGuard.
Pour aller plus loin
Détection, analyse et Threat Intelligence
Ethical Hacking : Apprendre l’attaque pour mieux se défendre
Livre
Secure Access Service Edge (SASE)
Livre
Développez et administrez vos services en toute sécurité<[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]
POUR LES ENTREPRISES
Découvrez nos solutions de formation pour vos équipes et apprenants :
En e-learning avec
notre offre pour les professionnels
